So richten Sie die BitLocker-Verschlüsselung unter Windows ein

BitLocker ist ein in Windows integriertes Tool, mit dem Sie eine ganze Festplatte verschlüsseln können, um die Sicherheit zu erhöhen. Hier erfahren Sie, wie Sie es einrichten.

Als TrueCrypt den Shop kontrovers schloss, empfahlen sie ihren Benutzern, von TrueCrypt auf BitLocker oder Veracrypt umzusteigen. BitLocker gibt es in Windows schon lange genug, um als ausgereift zu gelten, und es ist ein Verschlüsselungsprodukt, das von Sicherheitsprofis allgemein geschätzt wird. In diesem Artikel werden wir darüber sprechen, wie Sie es auf Ihrem PC einrichten können.

VERBINDUNG: Sollten Sie auf die Professional Edition von Windows 10 aktualisieren ?

Hinweis : Für die BitLocker-Laufwerkverschlüsselung und BitLocker To Go ist eine Professional- oder Enterprise-Version von Windows 8 oder 10 oder die Ultimate-Version von Windows 7 erforderlich. Ab Windows 8.1 enthalten die Home- und Pro-Editionen von Windows jedoch die Funktion „Geräteverschlüsselung“ (eine Funktion, die auch in Windows 10 enthalten ist), die ähnlich funktioniert. Wir empfehlen die Geräteverschlüsselung, wenn Ihr Computer dies unterstützt, BitLocker für Pro-Benutzer, die die Geräteverschlüsselung nicht verwenden können, und VeraCrypt für Benutzer einer Home-Version von Windows, bei der die Geräteverschlüsselung nicht funktioniert.

Ein ganzes Laufwerk verschlüsseln oder einen verschlüsselten Container erstellen?

In vielen Anleitungen wird über das Erstellen eines BitLocker-Containers gesprochen, der ähnlich wie ein verschlüsselter Container funktioniert, den Sie mit Produkten wie TrueCrypt oder Veracrypt erstellen können. Es ist ein bisschen eine Fehlbezeichnung, aber Sie können einen ähnlichen Effekt erzielen. BitLocker verschlüsselt ganze Laufwerke. Dies kann Ihr Systemlaufwerk, ein anderes physisches Laufwerk oder eine virtuelle Festplatte (VHD) sein, die als Datei vorhanden ist und unter Windows bereitgestellt wird.

VERBINDUNG: So erstellen Sie eine verschlüsselte Container-Datei mit BitLocker unter Windows

Der Unterschied ist weitgehend semantisch. In anderen Verschlüsselungsprodukten erstellen Sie normalerweise einen verschlüsselten Container und stellen ihn dann bei Bedarf als Laufwerk in Windows bereit. Mit BitLocker erstellen Sie eine virtuelle Festplatte und verschlüsseln sie anschließend. Wenn Sie einen Container verwenden möchten, anstatt beispielsweise Ihr vorhandenes System oder Speicherlaufwerk zu verschlüsseln, lesen Sie unseren Leitfaden zum Erstellen einer verschlüsselten Containerdatei mit BitLocker.

In diesem Artikel konzentrieren wir uns darauf, BitLocker für ein vorhandenes physisches Laufwerk zu aktivieren.

So verschlüsseln Sie ein Laufwerk mit BitLocker

VERBINDUNG: Verwendung von BitLocker ohne ein Trusted Platform Module (TPM)

Um BitLocker für ein Laufwerk zu verwenden, müssen Sie es nur aktivieren, eine Entsperrmethode auswählen - Kennwort, PIN usw. - und dann einige andere Optionen festlegen. Bevor wir darauf eingehen, sollten Sie jedoch wissen, dass für die Verwendung der BitLocker-Festplattenverschlüsselung auf einem Systemlaufwerk im Allgemeinen ein Computer mit einem Trusted Platform Module (TPM) auf dem Motherboard Ihres PCs erforderlich ist. Dieser Chip generiert und speichert die von BitLocker verwendeten Verschlüsselungsschlüssel. Wenn Ihr PC kein TPM hat, können Sie mithilfe der Gruppenrichtlinie die Verwendung von BitLocker ohne TPM aktivieren. Es ist etwas weniger sicher, aber immer noch sicherer, als überhaupt keine Verschlüsselung zu verwenden.

Sie können ein Nicht-Systemlaufwerk oder ein Wechseldatenträger ohne TPM verschlüsseln, ohne die Gruppenrichtlinieneinstellung aktivieren zu müssen.

In diesem Sinne sollten Sie auch wissen, dass Sie zwei Arten der BitLocker-Laufwerkverschlüsselung aktivieren können:

  • BitLocker-Laufwerkverschlüsselung : Manchmal auch als BitLocker bezeichnet, handelt es sich um eine Funktion zur vollständigen Festplattenverschlüsselung, mit der ein gesamtes Laufwerk verschlüsselt wird. Wenn Ihr PC startet, wird der Windows-Bootloader von der System Reserved-Partition geladen, und der Bootloader fordert Sie zur Eingabe Ihrer Entsperrmethode auf, z. B. eines Kennworts. BitLocker entschlüsselt dann das Laufwerk und lädt Windows. Die Verschlüsselung ist ansonsten transparent - Ihre Dateien erscheinen wie normalerweise auf einem unverschlüsselten System, werden jedoch in verschlüsselter Form auf der Festplatte gespeichert. Sie können auch andere Laufwerke als nur das Systemlaufwerk verschlüsseln.
  • BitLocker To Go : Mit BitLocker To Go können Sie externe Laufwerke wie USB-Sticks und externe Festplatten verschlüsseln. Sie werden aufgefordert, Ihre Entsperrmethode (z. B. ein Kennwort) einzugeben, wenn Sie das Laufwerk an Ihren Computer anschließen. Wenn jemand nicht über die Entsperrmethode verfügt, kann er nicht auf die Dateien auf dem Laufwerk zugreifen.

In Windows 7 bis 10 müssen Sie sich wirklich keine Sorgen machen, die Auswahl selbst zu treffen. Windows kümmert sich um die Dinge hinter den Kulissen, und die Oberfläche, über die Sie BitLocker aktivieren, sieht nicht anders aus. Wenn Sie unter Windows XP oder Vista ein verschlüsseltes Laufwerk entsperren, wird das BitLocker to Go-Branding angezeigt. Wir sind daher der Meinung, dass Sie zumindest darüber Bescheid wissen sollten.

Lassen Sie uns nun darüber nachdenken, wie dies tatsächlich funktioniert.

Erster Schritt: Aktivieren Sie BitLocker für ein Laufwerk

Die einfachste Möglichkeit, BitLocker für ein Laufwerk zu aktivieren, besteht darin, mit der rechten Maustaste auf das Laufwerk in einem Datei-Explorer-Fenster zu klicken und dann den Befehl "BitLocker aktivieren" zu wählen. Wenn diese Option in Ihrem Kontextmenü nicht angezeigt wird, verfügen Sie wahrscheinlich nicht über eine Pro oder Enterprise Edition von Windows und müssen nach einer anderen Verschlüsselungslösung suchen.

So einfach ist das. Der eingeblendete Assistent führt Sie durch die Auswahl mehrerer Optionen, die wir in die folgenden Abschnitte unterteilt haben.

Schritt zwei: Wählen Sie eine Entsperrmethode

Auf dem ersten Bildschirm, der im Assistenten zur BitLocker-Laufwerkverschlüsselung angezeigt wird, können Sie auswählen, wie Sie Ihr Laufwerk entsperren möchten. Sie können verschiedene Möglichkeiten zum Entsperren des Laufwerks auswählen.

Wenn Sie Ihr Systemlaufwerk auf einem Computer ohne TPM verschlüsseln  , können Sie das Laufwerk mit einem Kennwort oder einem USB-Laufwerk entsperren, das als Schlüssel fungiert. Wählen Sie Ihre Entsperrmethode aus und befolgen Sie die Anweisungen für diese Methode (geben Sie ein Kennwort ein oder schließen Sie Ihr USB-Laufwerk an).

VERBINDUNG: Aktivieren einer BitLocker-PIN vor dem Start unter Windows

Wenn Ihr Computer nicht über ein TPM haben, werden Sie zusätzliche Optionen sehen für das Systemlaufwerk zu entriegeln. Beispielsweise können Sie die automatische Entsperrung beim Start konfigurieren (wobei Ihr Computer die Verschlüsselungsschlüssel vom TPM abruft und das Laufwerk automatisch entschlüsselt). Sie können auch eine PIN anstelle eines Passworts verwenden oder sogar biometrische Optionen wie einen Fingerabdruck auswählen.

Wenn Sie ein Nicht-Systemlaufwerk oder ein Wechseldatenträger verschlüsseln, werden nur zwei Optionen angezeigt (unabhängig davon, ob Sie über ein TPM verfügen oder nicht). Sie können das Laufwerk mit einem Kennwort oder einer Smartcard (oder beiden) entsperren.

Schritt drei: Sichern Sie Ihren Wiederherstellungsschlüssel

BitLocker bietet Ihnen einen Wiederherstellungsschlüssel, mit dem Sie auf Ihre verschlüsselten Dateien zugreifen können, falls Sie jemals Ihren Hauptschlüssel verlieren sollten - beispielsweise wenn Sie Ihr Kennwort vergessen haben oder wenn der PC mit TPM ausfällt und Sie von einem anderen System aus auf das Laufwerk zugreifen müssen.

Sie können den Schlüssel in Ihrem Microsoft-Konto, einem USB-Laufwerk, einer Datei speichern oder sogar drucken. Diese Optionen sind gleich, unabhängig davon, ob Sie ein Systemlaufwerk oder ein Nicht-Systemlaufwerk verschlüsseln.

Wenn Sie den Wiederherstellungsschlüssel in Ihrem Microsoft-Konto sichern, können Sie später unter //onedrive.live.com/recoverykey auf den Schlüssel zugreifen. Wenn Sie eine andere Wiederherstellungsmethode verwenden, stellen Sie sicher, dass dieser Schlüssel sicher ist. Wenn jemand Zugriff darauf erhält, kann er Ihr Laufwerk entschlüsseln und die Verschlüsselung umgehen.

Sie können Ihren Wiederherstellungsschlüssel auch auf mehrere Arten sichern, wenn Sie möchten. Klicken Sie einfach nacheinander auf jede Option, die Sie verwenden möchten, und folgen Sie dann den Anweisungen. Wenn Sie mit dem Speichern Ihrer Wiederherstellungsschlüssel fertig sind, klicken Sie auf "Weiter", um fortzufahren.

Hinweis : Wenn Sie ein USB-Laufwerk oder ein anderes Wechseldatenträger verschlüsseln, können Sie Ihren Wiederherstellungsschlüssel nicht auf einem USB-Laufwerk speichern. Sie können jede der anderen drei Optionen verwenden.

Schritt 4: Verschlüsseln und entsperren Sie das Laufwerk

BitLocker verschlüsselt automatisch neue Dateien, wenn Sie sie hinzufügen. Sie müssen jedoch auswählen, was mit den Dateien geschieht, die sich derzeit auf Ihrem Laufwerk befinden. Sie können das gesamte Laufwerk - einschließlich des freien Speicherplatzes - verschlüsseln oder einfach die verwendeten Festplattendateien verschlüsseln, um den Vorgang zu beschleunigen. Diese Optionen sind auch gleich, unabhängig davon, ob Sie ein Systemlaufwerk oder ein Nicht-Systemlaufwerk verschlüsseln.

VERBINDUNG: So stellen Sie eine gelöschte Datei wieder her: The Ultimate Guide

Wenn Sie BitLocker auf einem neuen PC einrichten, verschlüsseln Sie nur den verwendeten Speicherplatz - dies ist viel schneller. Wenn Sie BitLocker auf einem PC einrichten, den Sie seit einiger Zeit verwenden, sollten Sie das gesamte Laufwerk verschlüsseln, um sicherzustellen, dass niemand gelöschte Dateien wiederherstellen kann.

Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf die Schaltfläche "Weiter".

Fünfter Schritt: Wählen Sie einen Verschlüsselungsmodus (nur Windows 10)

Wenn Sie Windows 10 verwenden, wird ein zusätzlicher Bildschirm angezeigt, in dem Sie eine Verschlüsselungsmethode auswählen können. Wenn Sie Windows 7 oder 8 verwenden, fahren Sie mit dem nächsten Schritt fort.

Windows 10 führte eine neue Verschlüsselungsmethode namens XTS-AES ein. Es bietet eine verbesserte Integrität und Leistung gegenüber dem in Windows 7 und 8 verwendeten AES. Wenn Sie wissen, dass das zu verschlüsselnde Laufwerk nur auf Windows 10-PCs verwendet werden soll, wählen Sie die Option "Neuer Verschlüsselungsmodus". Wenn Sie der Meinung sind, dass Sie das Laufwerk möglicherweise irgendwann mit einer älteren Windows-Version verwenden müssen (besonders wichtig, wenn es sich um ein Wechseldatenträger handelt), wählen Sie die Option „Kompatibler Modus“.

Unabhängig davon, welche Option Sie auswählen (und diese sind für System- und Nicht-Systemlaufwerke gleich), klicken Sie anschließend auf die Schaltfläche „Weiter“ und im nächsten Bildschirm auf die Schaltfläche „Verschlüsselung starten“.

Schritt sechs: Fertig stellen

Der Verschlüsselungsprozess kann zwischen Sekunden und Minuten oder sogar länger dauern, abhängig von der Größe des Laufwerks, der Datenmenge, die Sie verschlüsseln, und davon, ob Sie freien Speicherplatz verschlüsseln möchten.

Wenn Sie Ihr Systemlaufwerk verschlüsseln, werden Sie aufgefordert, eine BitLocker-Systemprüfung durchzuführen und Ihr System neu zu starten. Stellen Sie sicher, dass die Option ausgewählt ist, klicken Sie auf die Schaltfläche „Weiter“ und starten Sie Ihren PC neu, wenn Sie dazu aufgefordert werden. Nach dem ersten Start des PCs verschlüsselt Windows das Laufwerk.

Wenn Sie ein Nicht-System- oder Wechseldatenträger verschlüsseln, muss Windows nicht neu gestartet werden, und die Verschlüsselung beginnt sofort.

Unabhängig davon, welchen Laufwerkstyp Sie verschlüsseln, können Sie das BitLocker-Laufwerkverschlüsselungssymbol in der Taskleiste überprüfen, um den Fortschritt anzuzeigen, und Sie können Ihren Computer weiterhin verwenden, während die Laufwerke verschlüsselt werden. Die Leistung wird nur langsamer.

Entsperren Sie Ihr Laufwerk

Wenn Ihr Systemlaufwerk verschlüsselt ist, hängt das Entsperren von der gewählten Methode ab (und davon, ob Ihr PC über ein TPM verfügt). Wenn Sie über ein TPM verfügen und das Laufwerk automatisch entsperren möchten, werden Sie nichts anderes bemerken - Sie starten einfach wie immer direkt in Windows. Wenn Sie eine andere Entsperrmethode gewählt haben, werden Sie von Windows aufgefordert, das Laufwerk zu entsperren (indem Sie Ihr Kennwort eingeben, Ihr USB-Laufwerk anschließen oder was auch immer).

VERBINDUNG: So stellen Sie Ihre Dateien von einem BitLocker-verschlüsselten Laufwerk wieder her

Wenn Sie Ihre Entsperrmethode verloren (oder vergessen) haben, drücken Sie auf dem Eingabeaufforderungsbildschirm die Esc-Taste, um Ihren Wiederherstellungsschlüssel einzugeben.

Wenn Sie ein Nicht-System- oder Wechseldatenträger verschlüsselt haben, werden Sie von Windows aufgefordert, das Laufwerk zu entsperren, wenn Sie nach dem Start von Windows zum ersten Mal darauf zugreifen (oder wenn Sie es an Ihren PC anschließen, wenn es sich um ein Wechseldatenträger handelt). Geben Sie Ihr Passwort ein oder legen Sie Ihre Smartcard ein. Das Laufwerk sollte entsperrt sein, damit Sie es verwenden können.

Im Datei-Explorer zeigen verschlüsselte Laufwerke eine goldene Sperre für das Symbol (links). Diese Sperre wird grau und erscheint entsperrt, wenn Sie das Laufwerk entsperren (rechts).

Sie können ein gesperrtes Laufwerk über das BitLocker-Bedienfeldfenster verwalten - das Kennwort ändern, BitLocker deaktivieren, Ihren Wiederherstellungsschlüssel sichern oder andere Aktionen ausführen. Klicken Sie mit der rechten Maustaste auf ein verschlüsseltes Laufwerk, und wählen Sie dann "BitLocker verwalten" aus, um direkt zu dieser Seite zu gelangen.

Wie bei jeder Verschlüsselung erhöht BitLocker den Overhead. In den offiziellen BitLocker-FAQ von Microsoft heißt es: "Im Allgemeinen bedeutet dies einen einstelligen prozentualen Leistungsaufwand." Wenn Ihnen die Verschlüsselung wichtig ist, weil Sie über vertrauliche Daten verfügen, z. B. einen Laptop voller Geschäftsdokumente, ist die verbesserte Sicherheit den Kompromiss zwischen Leistung und Leistung wert.